为只读域控制器 (RODC) 的安装创建帐户时,可以指定负责随后将服务器连接到 RODC 帐户的用户或组。如果未指定用户或组,则只有 Domain Admins 组或 Enterprise Admins 组的成员可以将服务器连接到帐户。如果指定了可将服务器连接到帐户的用户或组,则安装完成后,该用户或组还将负责管理 RODC。出于此目的,可以指定唯一一个用户或组。
如果要让委派的 RODC 管理员可以在 RODC 上缓存密码,则必须将该管理员的用户帐户随同其将要使用的计算机帐户一起添加到安全主体列表中(也称为“允许列表”),该列表中的安全主体可以在 RODC 上缓存密码。如果未能将对应的计算机帐户添加到该“允许列表”,则当到可写域控制器的连接不可用时,将阻止 RODC 对委派的管理员进行身份验证。有关“允许列表”和设置密码复制策略 (PRP) 的详细信息,请参阅指定密码复制策略。
在“Active Directory 域服务安装向导”的此页面中指定的用户或组对 RODC 具有本地管理权限。在实践中,这意味着用户或组具有服务器的完全控制权限,包括本地登录、安装其他软件、安装设备驱动程序等。委派的用户或组还可以从 RODC 中删除 Active Directory 域服务 (AD DS)。
因此,应将 RODC 安装和管理仅委派给要求具备这类访问权限的用户和组,使他们可以执行其工作。此外,应将权限分配给个人用户以外的安全组,从而简化必要时更改这些权限的过程。
您可能需要专门为管理计划部署的 RODC 而创建安全组,然后在此向导页上指定该组名称。然后,该组将出现在“Active Directory 用户和计算机”管理单元中 RODC 属性页“管理者”选项卡上的“名称”字段中,安装后您可以在该管理单元中随时对其进行更改。
若要搜索特定用户或组的目录,请单击“设置”,然后键入用户或组的名称。我们建议您将 RODC 安装和管理委派给一个组。